Du tror kanskje at virksomheten din er godt nok beskyttet mot datakriminalitet, fordi dere har et antivirusprogram eller en brannmur? Det vil ikke være nok, hvis en hacker kommer inn via en av dine ansattes e-post.
Hackere forsøker bevisst å utnytte menneskelige svakheter der det ikke er mulighet for å bryte gjennom de teknologiske. I over 90 prosent av tilfellene, hvor enten skadelig programvare finner veien til IT-systemene våre, eller man opplever direktørsvindel (Display Name Spoofing) har det kommet inn via e-post. At e-post er det mest sårbare punktet for dataangrep i alle bedrifter er skummelt å tenke på, fordi alle ansatte antagelig bruker tjenesten hver dag.
Som daglig leder har du et stort ansvar for mange ulike områder. Internasjonale datakriminelle er kanskje ikke det du er mest bekymret for, men det bør du antagelig være. Det dukker stadig opp eksempler på selskaper i alle størrelser som har blitt utsatt for angrep.
Antallet sårbarheter i IT-systemene våre har økt eksponentielt de siste få årene. Dermed er det veldig lite som skal til. Plutselig sitter du midt i det, og da er det som oftest for sent. Derfor er det vesentlig at du og dine ansatte kjenner til hvordan dere kan gjenkjenne og håndtere potensielle trusler på e-post. Du bør sørge for at IT-sikkerheten er bedre ivaretatt, slik at dere ikke blir rammet.
Direktørsvindel og spear-phishing
Dersom du er oppdatert på de nyeste formene for datakriminalitet har du kanskje hørt om direktørsvindel. Svindelmetoden går ut på at en økonomimedarbeider mottar en e-post, tilsynelatende sendt av ledelsen i bedriften. Den såkalte «ledelsen» ber gjerne om å få overført en sum til et kontonummer, snarest. Er e-posten velformulert og ser «ekte» ut, er det en stor risiko for at ansatte, går rett på i en hektisk hverdag.
Det er heller ikke uvanlig at cyberkriminelle skaffer seg tilgang til en e-post- innboks uten å gjøre noen skade i lang tid. De bruker tiden og tilgangen til å sanke inn informasjon om blant annet ansvarsområder eller for eksempel til å finne ut hvordan ulike ansatte formulerer seg i e-poster. Dermed kan de framstå som mer troverdige og har større sjanse for å lykkes, når dataangrepet iverksettes.
Ved spear-phishing utgir hackeren seg for å være en person eller organisasjon som mottakeren i utgangspunktet stoler på. Den falske kommunikasjonen kan foregå i lang tid for å bygge den nødvendige tilliten. Et eksempel på det er den såkalte Norfund-saken, hvor 100 millioner kroner gikk tapt i et avansert digitalt angrep. Norfund er et statlig eid investeringsselskap. Svindelen knyttet seg til en låneavtale Norfund inngikk med en mikrofinansinstitusjon i Kambodsja, hvor det i stedet var cyberkriminelle som sto bak.
Dessverre rammer datakriminalitet også små og mellomstore bedrifter. Kripos har uttalt at lokale idrettslag er like utsatte som store konserner. Forskjellen ligger i summen på pengekravene. Summen tilpasses den eller de hackerne forsøker å ramme, slik at de har muligheter til å betale.
Det er ikke enkelt å oppdage om noen har tilgang til innboksen din. Det er derimot ganske enkelt å iverksette IT-sikkerhetstiltak som tofaktorautentisering. Dersom det ikke er innført allerede i virksomheten din, bør du gjøre det umiddelbart. Dersom tofaktorautentisering ikke brukes, er det lett å lure til seg innloggingsinformasjon. Når e-poster og passord først har havnet på avveie, dukker de opp i store databaser som er åpne for alle.
Tofaktorautentisering innebærer at du har et dobbelt lag med sikkerhet. Du må bruke to faktorer (bevis) for å bekrefte identiteten din, når du logger deg inn. De to faktorene er normalt noe du vet, altså passordet ditt, og noe du har, som en kodebrikke eller en at det sendes en SMS til mobiltelefonen din.
Les også: Hvis du tror du har passordene dine for deg selv, må du tro om igjen
Smutthull i antivirusløsningen og spamfilteret
Spamfilter og antivirusprogrammer har sine begrensninger og klarer ikke fange opp alt. Datakriminelle jobber hardt for å finne nye veier utenom. Ondsinnede lenker i en e-post kan for eksempel inneholde:
- Overvåkningsprogramvare
- Løsepengevirus
- Utvinning av kryptovaluta
Datakriminelle har dessverre andre ess i ermet også. Et klassisk triks er å inkludere vedlegg som PDF. Når farlige lenker legges direkte i dokumentet fanges de ikke opp av sikkerhetsverktøy.
Et annet triks går ut på å legge inn en lenke som egentlig ser harmløs ut, både for deg og for antivirusprogrammet, men som omdirigerer deg til en annen nettside. Dette smutthullet utnyttes av datakriminelle, fordi det gir fritt leide til å oppdatere nettsiden med skadelig programvare etter at e-posten har sluppet gjennom spamfilteret.
Les også: Tar du IT-sikkerhet så alvorlig som du burde? Antagelig ikke.
Mange spam- eller URL-løsninger sjekker kun for skadelig kode eller innhold ved mottak. Dette vet angriperen godt. En sikkerhetsløsning må derfor alltid kunne sjekke URL-er ved klikk også, ikke bare mottak.
Datakriminelle utgir seg for å være deg via e-post
Et slepphendt forhold til datasikkerhet er ikke bare en IT-sikkerhetsrisiko for deg. Med tilgang til din e-postkonto, kalender eller annen informasjon, kan kriminelle sende ut e-poster i ditt navn til dem du jevnlig er i kontakt med. Har du lukrative kunder, leverandører eller andre samarbeidspartnere, kan du altså brukes som en brekkstang inn i deres systemer eller bankkontoer.
Om hackere får tak i dine kundedata som deretter brukes mot dine kontaktpersoner, kan det fort føre til store problemer også for deg pga. GDPR og andre lover og regler. Dersom dine manglende e-postrutiner fører til økonomiske tap for kunder og samarbeidspartnere, kan det ikke minst føre til en omdømmekatastrofe.
Les også: Slik tetter Managed Email Protection norske bedrifters vanligste sikkerhetshull
Du må ha et bevisst forhold datasikkerhet generelt og e-postsikkerhet spesielt. Du kan ikke anta at du er trygg. Du må i stedet ha som utgangspunkt at du er i faresonen, og dermed sette i verk riktige IT-sikkerhetstiltak.
Vår lange erfaring viser at det dessverre fortsatt er mange virksomheter som kjører nedover motorveien, uten verken setebelte eller kollisjonsputer. Om du krasjer, hjelper det lite å installere disse i ettertid. Data Equipment hjelper deg gjerne med å spenne på deg setebeltet og sette i verk de riktige tiltakene, slik at din e-postsikkerhet er ivaretatt. Du kan jo starte med å ta vår gratis e-post helsesjekk!
